Delega dell'amministrazione di unità organizzative e contenitori predefiniti
Ogni dominio di Active Directory contiene un set standard di contenitori e unità organizzative create durante l'installazione di Active Directory Domain Services (AD DS). Di seguito sono elencate le quattro opzioni disponibili.
Contenitore di dominio, che funge da contenitore radice alla gerarchia
Contenitore predefinito, che contiene gli account amministratore del servizio predefiniti
Contenitore Utenti, ovvero il percorso predefinito per i nuovi account utente e i gruppi creati nel dominio
Contenitore computer, ovvero il percorso predefinito per i nuovi account computer creati nel dominio
Unità organizzativa controller di dominio, ovvero il percorso predefinito per gli account computer per gli account computer dei controller di dominio
Il proprietario della foresta controlla questi contenitori e unità organizzative predefiniti.
Contenitore di dominio
Il contenitore di dominio è il contenitore radice della gerarchia di un dominio. Le modifiche apportate ai criteri o all'elenco di controllo di accesso (ACL) in questo contenitore possono potenzialmente avere un impatto a livello di dominio. Non delegare il controllo di questo contenitore; deve essere controllato dagli amministratori del servizio.
Contenitori di utenti e computer
Quando si esegue un aggiornamento sul posto del dominio da Windows Server 2003 a Windows Server 2008, gli utenti e i computer esistenti vengono inseriti automaticamente negli utenti e nei contenitori dei computer. Se si sta creando un nuovo dominio di Active Directory, gli utenti e i contenitori dei computer sono i percorsi predefiniti per tutti i nuovi account utente e per gli account computer non controller di dominio nel dominio.
Importante
Se è necessario delegare il controllo su utenti o computer, non modificare le impostazioni predefinite nei contenitori di utenti e computer. Creare invece nuove unità organizzative (in base alle esigenze) e spostare gli oggetti utente e computer dai contenitori predefiniti nelle nuove unità organizzative. Delegare il controllo sulle nuove unità organizzative, in base alle esigenze. È consigliabile non modificare gli utenti che controllano i contenitori predefiniti.
Inoltre, non è possibile applicare le impostazioni di Criteri di gruppo ai contenitori predefiniti di utenti e computer. Per applicare Criteri di gruppo a utenti e computer, creare nuove unità organizzative e spostare gli oggetti utente e computer in tali unità organizzative. Applicare le impostazioni di Criteri di gruppo alle nuove unità organizzative.
Facoltativamente, è possibile reindirizzare la creazione di oggetti inseriti nei contenitori predefiniti in contenitori di propria scelta.
Utenti e gruppi noti e account predefiniti
Per impostazione predefinita, diversi utenti e gruppi noti e account predefiniti vengono creati in un nuovo dominio. È consigliabile che la gestione di questi account rimanga sotto il controllo degli amministratori del servizio. Non delegare la gestione di questi account a un individuo che non è un amministratore del servizio. La tabella seguente elenca gli utenti e i gruppi noti e gli account predefiniti che devono rimanere sotto il controllo degli amministratori del servizio.
| Utenti e gruppi noti | Account predefiniti |
|---|---|
| Cert Publishers Controller di dominio Proprietari autori criteri di gruppo KRBTGT Domain Guests Amministratore Domain Admins Amministratori schema (solo dominio radice foresta) Amministratori azienda (solo dominio radice foresta) Domain Users |
Amministratore Ospite Utenti guest Account Operators Amministratori Backup Operators Generatori di trust di foreste in ingresso Print Operators Accesso compatibile precedente a Windows 2000 Server Operators Utenti |
Unità organizzativa controller di dominio
Quando i controller di dominio vengono aggiunti al dominio, i relativi oggetti computer vengono aggiunti automaticamente all'unità organizzativa controller di dominio. A questa unità organizzativa è applicato un set predefinito di criteri. Per assicurarsi che questi criteri vengano applicati in modo uniforme a tutti i controller di dominio, è consigliabile non spostare gli oggetti computer dei controller di dominio dall'unità organizzativa. Se non si applicano i criteri predefiniti, un controller di dominio non funziona correttamente.
Per impostazione predefinita, gli amministratori del servizio controllano questa unità organizzativa. Non delegare il controllo di questa unità organizzativa a utenti diversi dagli amministratori del servizio.